RODO ART. 9 · KP ART. 22(1)

CV, dowód, świadectwo pracy — minimalizacja danych zgodna z RODO.

Agencja pracy obraca codziennie CV (zdjęcie, PESEL częściowo, dane kontaktowe), skanami dowodów (przy zatrudnieniu cudzoziemca), świadectwami pracy. Kodeks pracy art. 22(1) ogranicza zakres danych pracownika — zbieranie zbędnych = naruszenie. RODO art. 9 chroni dane szczególne (zdrowie z badań, orientacja). UODO już ukarał branżę: 42 tys. zł SharePoint 2023. Fotopliki = E2E + retencja kontrolowana.

Wymieniaj CV bezpiecznie → Jak to działa?

Realne ryzyko agencji rekrutacyjnej

  • CV bazą Excel na SharePoincie — 38 osób w firmie ma dostęp do CV 5000 kandydatów. UODO 2023 — kara 42 tys. zł za naruszenie minimalizacji dostępu (art. 5 RODO).
  • Skan dowodu kandydata przez WhatsApp — pracownia rekrutacyjna chce „szybko zatwierdzić". Wycieka, kandydat traci tożsamość, agencja w sądzie cywilnym o odszkodowanie.
  • Cudzoziemcy — paszport + wiza + zaświadczenia — pakiet wrażliwy. Wyciek = problem prawny w kraju pochodzenia kandydata + roszczenie RODO + kara za pracę nielegalną u pracodawcy.
  • Weryfikacja referencji — dzwonisz do byłego pracodawcy. Wymiana mailowa o kandydacie — bez podstawy prawnej (zgody) = naruszenie.

Agencja compliant

  • CV z hasłem do pracodawcy klienta — Pro pozwala osobne hasło. Pracodawca dostaje link, hasło ustnie / SMS-em. Forward poza firmę pracodawcy = blokada.
  • Pakiet zatrudnieniowy 200 MB (Business) — CV + dowód + świadectwa + referencje + badania. Bez fragmentacji w wielu mailach.
  • DPA z pracodawcą-klientem — Business zawiera. Wymagana art. 28 RODO przy każdej dużej rekrutacji.
  • Retencja 7 dni dla CV pracodawcy — po procesie rekrutacyjnym dane znikają. Spełnia art. 5 e RODO (ograniczenie czasu przechowywania).

Typowe scenariusze

01 · Rekrutacja

CV do pracodawcy

Agencja przedstawia 5 kandydatów — pakiet 5 CV + opinie agenta → pracodawca-klient. Hasło, retencja 14 dni (proces rekrutacyjny).

02 · Pracownik tymczasowy

Pakiet zatrudnieniowy

Kandydat zaakceptowany — agencja przekazuje pracodawcy: dowód, świadectwa, referencje, badania lekarskie. DPA wymagana.

03 · Cudzoziemiec

Procedura zezwolenia

Praca w Polsce dla obywatela Ukrainy / Białorusi — paszport + wiza + zaświadczenia z urzędu. Pakiet 50-100 MB → urząd wojewódzki + pracodawca.

04 · Headhunting

Profil C-level

Headhunter szuka prezesa zarządu. Profil + długoterminowy track-record + listy referencyjne → klient korporacyjny. Audit log w aktach poszukiwań.

05 · Weryfikacja

Referencje od byłych pracodawców

Były pracodawca przesyła agencji ocenę / referencję pisemną. Materiał wrażliwy (RODO art. 9 jeśli zdrowotny). Hasło, retencja krótka.

06 · BPO

Outsourcing rekrutacji

Duża korporacja outsource'uje rekrutację do agencji. Wymiana CV i komentarzy w cyklu — subdomena z SSO + DPA + audit log per agent.

Workflow w agencji rekrutacyjnej

1

Pozyskanie CV

Kandydat wysyła CV (job board / LinkedIn / direct). Agent ocenia, decyduje o przedstawieniu klientowi.

2

Pakiet do klienta

CV + opinia agenta. Pakiet 5-10 kandydatów dla klienta-pracodawcy.

3

Upload fotopliki.pl

Link z hasłem do pracodawcy. Retencja 14 dni (proces rekrutacyjny). Po decyzji — link wygaszany.

4

Zatrudnienie + archiwum

Wybrany kandydat — pełen pakiet zatrudnieniowy. Audit log w aktach. CV niewybranych — automatyczne usunięcie po procesie.

Kodeks pracy + Ustawa o promocji zatrudnienia + RODO

Art. 22(1) Kodeksu pracy

„Pracodawca żąda od pracownika podania danych osobowych obejmujących: imię, nazwisko, datę urodzenia, dane kontaktowe..." Zakres zamknięty — żądanie szerszych danych (PESEL pełny, NIP, stan cywilny szczegółowy) = naruszenie minimalizacji art. 5 RODO. Kara UODO 2023: 42 tys. zł SharePoint.

Ustawa o promocji zatrudnienia z 20.04.2004

Agencja pracy = wpisana do KRAZ (rejestru agencji zatrudnienia). Obowiązki dot. pośrednictwa, w tym ochrony danych osób poszukujących pracy. Naruszenie = sankcje administracyjne + cofnięcie wpisu z KRAZ.

RODO art. 6 + 9 + 28

CV z fotografią (art. 9 — biometria); badania lekarskie (art. 9 — zdrowie); orientacja seksualna z kontekstu (np. partner w danych adresowych). DPA z pracodawcą-klientem (art. 28) wymagana zawsze.

Ustawa o cudzoziemcach z 12.12.2013

Zatrudnienie cudzoziemca — szczególne obowiązki dokumentacyjne (paszport, wiza, zezwolenie). Pakiet idealny do bezpiecznej wymiany z urzędem wojewódzkim, ZUS, US. Wyciek = postępowanie wobec pracodawcy z tytułu pracy nielegalnej (Wojewódzka Inspekcja Pracy).

📌 Konkretny przypadek: 2023 — agencja rekrutacyjna z Warszawy karana 42 tys. zł przez UODO za przechowywanie 5000 CV w SharePoincie z dostępem dla 38 osób (większość bez podstawy operacyjnej). Naruszenie zasady minimalizacji dostępu (art. 5 ust. 1 lit. f RODO) plus brak DPA z 12 pracodawcami-klientami.

FAQ — dla agencji pracy

Czy mogę przechowywać CV niewybranych kandydatów do następnej rekrutacji?

Tylko jeśli kandydat wyrazi zgodę (klauzula w CV: „wyrażam zgodę na przyszłe rekrutacje"). Bez zgody = obowiązek usunięcia po zakończeniu rekrutacji (art. 5 e RODO). Fotopliki retencja 7-14 dni dopasowana do procesu — automatyczne usunięcie spełnia obowiązek.

Skan dowodu kandydata-cudzoziemca — jakie wymagania?

Dowód osobisty / paszport zawiera dane szczególne (zdjęcie biometryczne, art. 9 RODO). Dla zezwolenia na pracę cudzoziemca — uprawnione jest gromadzenie. Dla samej rekrutacji w Polsce — zazwyczaj niedopuszczalne (zbieranie nadmiarowe). Fotopliki + krótka retencja + audit log = compliance.

Pracodawca-klient prosi o pełen pakiet kandydata przed zaproszeniem na rozmowę — można?

Nie. CV (z minimalnym zakresem art. 22(1) KP) — tak. Pełen pakiet (dowód, badania, świadectwa) — dopiero po decyzji o zatrudnieniu lub na etapie umowy o pracę. Fotopliki Pro pozwala wysyłkę etapową (link CV → po rozmowie kolejny link z dowodem itd.).

DPA z pracodawcą-klientem — kiedy obowiązkowa?

Zawsze, gdy agencja przekazuje pracodawcy dane kandydata (pracodawca jako administrator albo współadministrator). Bez DPA = oboje naruszacie art. 28 RODO. Fotopliki Business zawiera szablon DPA gotowy do podpisania. Dla pracodawców-korporacji wymagany jest własny szablon DPA — w tym wypadku Fotopliki dostarcza klauzule „processor" do wpisania w ich szablon.

Jaki plan dla agencji 5-rekrutacyjnej?

Plan Business (49 zł/mies) — 5 użytkowników, DPA, subdomena agencja-XYZ.fotopliki.pl, audit log per rekrutator. Dla większych agencji (10+ rekrutatorów, BPO) — Enterprise z SSO i integracją z ATS (np. eRecruiter, SAP SuccessFactors).

Zobacz też

🏢

Fotopliki dla firm i HR

Pracodawca-klient — odbiorca CV.
⚖️

Fotopliki dla prawników

Spór o ochronę danych pracownika.
🔍

Fotopliki dla detektywów

Weryfikacja kandydata C-level.

CV + dowód + DPA = rekrutacja bez kary UODO

Pro 19 zł/mies (rekrutator-solo). Business 49 zł/mies (agencja + DPA + subdomena). Wypróbuj — pierwsza rekrutacja pokaże różnicę.

Wymieniaj CV bezpiecznie →

Plan Pro (19 zł/mies): 50MB + wybór retencji + hasło na link. Plan Business (49 zł/mies): 200MB + DPA + audit log + subdomena.